WordPressサイトへのログインにプラグイン『Two-Factor』を使ってTOTP(時間ベースのワンタイムパスワード)での2要素認証を導入する方法。
Google認証システム(Google Authenticator)、MicrosoftのAuthenticator、WinAuthなどの
『Two-Factor』について
『Two-Factor』は、WordPressサイトのログインにメール・TOTP・U2Fなどでの2要素認証を追加できるプラグイン。
2025年8月確認時点での最終更新日は2025年7月4日でメンテナンスが続いていた。
TOTPの設定方法
インストール
「管理画面>プラグイン>プラグインを追加」から「two-factor」などのキーワードで検索。
「今すぐインストール>有効化」でインストールして有効化する。
認証アプリに登録
Two-Factorをインストールすると「管理画面>ユーザー>プロフィール」に2要素認証の設定項目が追加される。
複数のユーザーがいる場合は「管理画面>ユーザー>ユーザー一覧」ページにリストアップされた各ユーザーの名前にマウスホバーして表示される「編集」リンクから各プロフィールの設定画面を開ける。
Two-Factor設定の「認証アプリ」項目がTOTPの設定箇所となる。
プロフィール画面を開いた時点でTOTP用のQRコードと共有シークレットキーが自動で生成されているので、TOTPで利用するアプリでスキャンしたりシークレットキーを入力して登録する。
アプリへの登録が終わったら「認証アプリを有効化」にチェックを入れ、「認証コード」のボックスにコードを入力して「検証」ボタンをクリック。
コードに問題がなければ画面を下にスクロールして「プロフィールを更新」ボタンをクリック。
私が使っている認証アプリは、Android端末で「Google認証システム(Google Authenticator)」と「MicrosoftのAuthenticator」、WindowsPCで「WinAuth」です。
QRコードと共有シークレットキーはKeePassにも登録してバックアップしています。
セッションの再検証
「プロフィールを更新」すると下記画像のように「セッションを再検証する必要があります」と表示されるので「今すぐ再検証」ボタンをクリックする。
「今すぐ再検証」ボタンをクリックすると認証アプリのコードを入力する画面に遷移するので、コードを入力する。
これでTOTPの設定完了。
リカバリーコードの設定
TOTPでの2要素認証を利用する場合は、バックアップの認証手段としてリカバリーコードを生成&有効化しておいたほうがいい。
使用している認証アプリ・端末の不具合の他、インターネット接続のトラブル等で認証アプリが”時間”を正確に取得できなくなると認証に失敗してログインできなくなることがあるため。
「新しいリカバリーコードを生成」ボタンをクリックすると10個のコードが生成されるのでメモorダウンロードする。
「リカバリーコードを有効化」にチェックを入れて、「プロフィールを更新」ボタンをクリックで完了。
設定が有効になると、認証コードを入力する画面の下部に「リカバリーコードを使用」のリンクが追加され、遷移先でリカバリーコードを入力してのログインが可能となる。
セキュリティを強化できるのはいいですが、アプリ・端末・ネットの不具合でログインできなくなる可能性もあるのでちょいと注意が必要です。
上記関連記事のようにアプリの不具合で困ったこともありました。
ログインできなくなったときの対策
前述したような何らかの理由でTOTPの認証ができなくてログインできなくなったときの対策。
『Two-Factor』をインストールしているフォルダの名前を変更することでプラグインを無効化して2要素認証を解除できる。もしくは、フォルダを削除することでプラグインごと削除して2要素認証を解除することもできる。
プラグインのフォルダは、WordPressをインストールしたフォルダの「wp-content/plugins」内にある。FTPソフトやサーバーのファイルマネージャー機能などで「two-factor」フォルダを「名前変更」or「削除」すればいい。
当サイトの場合だと下記のようになる。
tonahazana.com/public_html/wp-content/plugins/two-factor
コメント一覧